国泰航空、万豪酒店集团,去年(2018)都曾发生大规模的个人信息外泄风波,许多人的酒店集团姓名、地址、e-mail、护照号码、信用卡号,都可能暴露在黑客入侵的威胁下。
即便各国政府力推移动支付政策,但许多人们就是因为在安全上有疑虑,仍不愿意使用。VISA大中华区首席风险官杨景香认为:“电子化的最后一里总是最难的,很多人不用就是安全考量。”创新是一把利人利己的双面刃,同时带来机会与威胁。
不过杨景香告诉《数字时代》:“过去60年,从来没有任何数据外泄事件,发生在Visa的支付网络VisaNet上。”事实上,当年Apple Pay之所以能在全球落地使用,若没有背后VISA的关键技术撑腰,就不会有今天方便安全的支付体验。
Apple Pay落地关键,Visa代码化服务
信用卡组织VISA,是一个与全球交易系统绵密交织的庞大网络,维护支付生态系统统的安全、降低敏感数据的价值,是所有创新工作的最优先。Visa亚太区风险负责人Joe Cunningham认为,理想的未来世界,是一个不需要密码的环境,通过日新月异的身份验证科技,“提供消费者更好、更安全和无缝的支付体验。”
Visa代码化服务(Visa Token Service)是移动支付背后的一大推手,没有它Apple Pay无法在全球落地使用。杨景香表示:“代码化就是让敏感的数据变得不敏感。”简单来说,就是以独特的数字代码(token)取代真实的16码卡号,如此一来在支付过程就能降低持卡人敏感的账户信息暴露风险,当卡片遗失、遭窃或过期,发卡机构能立即更新账户信息。
当年Apple Pay之所以能在全世界落地使用,背后的关键是基于VISA代码技术的诞生。
代码化服务最为人所知的应用就是Apple Pay,杨景香解释,用户只有在第一次绑订卡片时,需要输入16码卡号,之后iPhone中存的就是代码,可以想象成把卡号变成另一种语言,每次消费都是用代码交易,银行之所以还知道这笔交易是持卡人消费,是因为VISA将这组代码翻译给银行,通过VISA授权后,才能把代码跟持卡人之间的关系串起来,“ 就算犯罪份子偷走了代码,也不知道代码背后的关系。 ”代码(Token)并非新技术,VISA之所以能成功,是因为连接商户、收单行、发卡行、消费者之间的关系,让代码可以在支付生态圈中彼此串联。
杨景香分析,当年Apple Pay之所以能在全世界落地使用,背后关键是基于VISA代码技术的诞生,“没有VISA背后的代码技术是落不了地的,VISA在中间解读代码关系,是最关键的一步。”目前VISA也持续向许多发卡机构、线上支付商家推广代码技术,像是影音串流平台Netflix,在2017年就采用VISA代码化服务,让支付安全更加可靠。
数据中心连炸弹都不怕,60年来VisaNet零出现bug
Visa的支付网络VisaNet,在去年(2018)共处理超过1,270亿笔商户和金融机构间的交易。VISA大中华区首席风险长杨景香说,过去60年来从来没有一次数据外泄问题发生在VISA上,但为何信用卡盗刷、卡号外泄问题仍层出不穷?
“因为商户端不是做支付,对系统安全的保护、理解,可能跟做金融的不同。”杨景香说,现在各行各业都跟支付脱不了关系,无论是电商、零售、游戏企业,参与的玩家越来越多,不过许多厂商都是IT背景,并非金融支付专业,对于数据、安全等级的把关有所差异,因此许多时候数据外泄问题都出在商户端。
VISA大中华区首席风险长杨景香说:“我们的数据中心比五角大厦还要安全,建筑的材料安全性、系统的安全性都是顶级的。”(图为美国五角大厦)
杨景香透露,许多黑客的终极目标,并非美国五角大厦等单位,而是支付网络VisaNet,看准VisaNet每分每秒庞大的金流交易,不只是技术上的安全保护,杨景香说:“我们的数据中心比五角大厦还要安全,建筑的材料安全性、系统的安全性都是顶级的。”
VISA的数据中心遍布世界各处,但因为涉及全球规模的交易安全,这些数据中心地点相当保密,连门牌都没有,在地图上也找不到,完全比照美国军事基地等级,VISA数据中心有多坚固呢?杨景香说:“ 连炸弹掉下炸,都不会发生问题。 ”
即时给出风险评分,为交易安全把关
随着无现金交易成为全球重要的趋势,也是许多政府、创业公司努力的领域,而支付过程中的摩擦体验,常让消费者放弃交易。根据研究机构Javelin调查,高达51%的受访者,都曾因交易过程中授权被错误识别,导致交易被拒绝,最后不得不选择其他信用卡完成支付,如此一来,就会让竞争对手的信用卡成为首选支付方式。
风险侦测授权服务(Visa Advanced Authorisation,VAA),是VISA近期相当自豪的一项服务,杨景香说:“这个产品非常强大,在业界绝对是领头羊。”
VAA服务之所以厉害,在于可做到“即时”风险评分。杨景香解释,过去刷卡时,卡片插进机器会需要等个几秒钟,“现在许多友商做的都是“准即时”,意思是交易完成后,才知道风险评分,再回头去看交易安全与否。”杨景香解释:“VAA是在授权之前,就可以依据评分安全与否,来决定通不通过交易。”
VAA这是一个结合机器学习与人工智能的预测性分析技术,会分析500多种独特的风险属性,每笔交易处理时间,大约只需要千分之一秒,VISA系统就能“即时(real time)”给出风险评分。
VAA这是一个结合机器学习与人工智能的预测性分析技术,会分析500多种独特的风险属性,每笔交易处理时间,大约只需要千分之一秒,VISA系统就能“即时(real time)”给出风险评分,并与金融机构共享风险评分,辨别是否批准或拒绝交易。虽然几秒钟跟千分之一秒的时间,在实际交易体验上,感受上没有太剧烈的差异,但对于后端的交易安全把关来说,是更加可靠严谨。
VISA全球高级副总裁Melissa McSherry认为:“如何在不影响流畅支付体验的情况下,把正常交易与犯罪分子的欺诈交易区分开来,是现在支付行业所面临的最严峻的挑战之一。”
VAA是VISA反欺诈策略中的关键技术,能够有效降低金融机构及零售商的支付风险,目前在全球129个国家地区的8,000多家金融机构,都已经采用VAA技术。VISA每天平均分析超过60亿笔数据,官方表示,VAA服务一年帮助发卡银行防止超过250亿美元的诈骗损失,通过新科技多管齐下,VISA现在已经把全球欺诈率维持在0.1%以下,创下历史新低。